freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

linux網(wǎng)絡安全僅學習交流使用-資料下載頁

2025-01-09 02:03本頁面
  

【正文】 tcp‖或 “ p udp‖選項之后,因為分別是載入 TCP和 UDP擴展的。 ?以前 TCP的 “ y‖標志現(xiàn)在改為 “ —syn‖,并且必須置于 “ p tcp‖之后。 ?原來的 DENY目標最后改為了 DROP。 ?可以在列表顯示單個鏈的同時將其清空。 ?可以在清空內(nèi)建鏈的同時將策略計數(shù)器清零。 ?列表顯示鏈時可顯示計數(shù)器的當前瞬時值。 ?REJECT和 LOG現(xiàn)在變成了擴展目標,即意味著成為獨立的內(nèi)核模塊。 ?鏈名可以長達 31個字符。 ?MASQ現(xiàn)在改為 MASQUERADE,并且使用不同的語法。 REDIRECT保留原名稱,但也改變了所使用的語法。 包過濾防火墻配置實例 1.網(wǎng)絡結(jié)構(gòu) 本節(jié)要為如圖 812所示的網(wǎng)絡結(jié)構(gòu)建立一個包過濾防火墻 。 這個網(wǎng)絡結(jié)構(gòu)假設(shè)內(nèi)部網(wǎng)有有效的 Inter地址。為了將內(nèi)部網(wǎng)段,在內(nèi)部網(wǎng)絡和 Inter之間使用了包過濾防火墻。防火墻的內(nèi)網(wǎng)接口是 eth1( ),防火墻的 Inter接口是 eth0( )。另外,內(nèi)網(wǎng)中有 3臺服務器對外提供服務。 圖 812 包過濾防火墻結(jié)構(gòu)圖 WWW服務器: IP地址為 FTP服務器: IP地址為 E_mail服務器: IP地址為 2.防火墻的建立過程 本例主要是對內(nèi)部的各種服務器提供保護 。 下面采用編輯并執(zhí)行可執(zhí)行腳本的方法建立此防火墻 。 具體過程如下: ( 1) 在 /etc/, 執(zhí)行 chmod命令添加可執(zhí)行權(quán)限 。 touch /etc/ chmod u+x /etc/( 2) 編輯 /etc/, 在末尾加上 /etc/保開機時能自動執(zhí)行該腳本 。 echo ―/etc/‖ /etc/( 3) 使用文本編輯器編輯 /etc/, 插入如下內(nèi)容 : !/bin/bash 在屏幕上顯示信息 echo ―Starting iptables rules… ‖ 開啟內(nèi)核轉(zhuǎn)發(fā)功能 echo ―1‖ /proc/sys//ipv4/ip_forward 定義變量 IPT=/sbin/iptables WWWSERVER= FTPSERVER= EMAILSERVER= IP_RANGE=―‖ 刷新所有的鏈的規(guī)則 $IPT –F 首先禁止轉(zhuǎn)發(fā)任何包 , 然后再一步步設(shè)置允許通過的包 所以首先設(shè)置防火墻 FORWARD鏈的策略為 DROP $IPT –P FORWARD DROP 下面設(shè)置關(guān)于服務器的包過濾規(guī)則 由于服務器 /客戶機交互是雙向的 , 所以不僅僅要設(shè)置數(shù)據(jù)包 出去的規(guī)則 , 還要設(shè)置數(shù)據(jù)包返回的規(guī)則 下面建立針對來自 Inter數(shù)據(jù)包的過濾規(guī)則 ( 1) WWW服務 服務端口為 80, 采用 tcp或 utp協(xié)議 規(guī)則為: eth0=允許目的為內(nèi)部網(wǎng) WWW服務器的包 $IPT –A FORWORD –p tcp –d $WWWSERVER –dport –i eth0 –j ACCEPT ( 2) FTP服務 服務端口為:命令端口 21, 數(shù)據(jù)端口 20 FTP服務采用 tcp協(xié)議 規(guī)則為: eth0=允許目的為內(nèi)部網(wǎng) FTP服務器的包 $IPT –A FORWORD –p tcp –d $FTPSERVER –dport ftp –i eth0 –j ACCEPT ( 3) EMAIL服務 包含兩個協(xié)議 , 一個是 smtp, 另一個是 pop3 出于安全性考慮 , 通常只提供對內(nèi)的 pop3服務 所以在這里我們只考慮針對 smtp的安全性問題 smtp端口 25, 采用 tcp協(xié)議 規(guī)則為: eth0=允許目的為內(nèi)部網(wǎng) E_mail服務器的 smtp請求 $IPT –A FORWORD –p tcp –d $EMAILSERVER –dport smtp –i eth0 –j ACCEPT 下面設(shè)置針對 Intra客戶的過濾規(guī)則 本例中防火墻位于網(wǎng)關(guān)的位置 , 所以主要是防止來自 Inter的攻擊 不能防止來自 Intra的攻擊 假如網(wǎng)絡中的服務器都是基于 Linux的 , 也可以在每一部服務器上設(shè)置 相關(guān)的過濾規(guī)則來防止來自 Intra的攻擊 對于 Inter對 Intra客戶的返回包 , 定義如下規(guī)則 ( 1) 允許 Intra客戶采用被動模式訪問 Inter的 FTP服務器 $IPT –A FORWORD –p tcp –s 0/0 –sport ftpdata –d $IP_RANGE –i eth0 –j ACCEPT ( 2) 接受來自 Inter的非連接請求 tcp包 $IPT –A FORWORD –p tcp –d ! –syn –i eth0 –j ACCEPT ( 3) 接受所有 udp包 , 主要是針對 oicq等使用 udp的服務 $IPT –A FORWORD –p utp –d –i eth0 –j ACCEPT 然后接受來自整個 Intra的數(shù)據(jù)包過濾 , 定義如下規(guī)則 $IPT –A FORWORD –s –i eth0 –j ACCEPT 處理 IP碎片 接受所有的 IP碎片 , 但采用 limit匹配擴展對其單位時間可以通過的 IP碎片數(shù)量進行限制 , 以防止 IP碎片攻擊 $IPT –A FORWORD –f –m limit limit 100/s limit –burst 100 –j ACCEPT 說明:對不管來自哪里的 IP碎片都進行限制 , 允許每秒通過 100個 IP碎片 該限制觸發(fā)的條件是 100個 IP碎片 設(shè)置 icmp包過濾 icmp包通常用于網(wǎng)絡測試等 , 故允許所有的 icmp包通過 但是黑客常常采用 icmp進行攻擊 , 如 ping of death等 所以我們采用 limit匹配擴展加以限制 $IPT –A FORWORD –p icmp –m limit limit 1/s limit –burst 100 –j ACCEPT 說明:對不管來自哪里的 icmp包都進行限制 , 允許每秒通過一個包 該限制觸發(fā)的條件是 10個包 ( 4) 執(zhí)行腳本 , 使之立刻生效 /etc/ 通過執(zhí)行上面的腳本 , 建立了一個相對完整的防火墻 。 該防火墻只對外開放了有限的幾個端口 , 同時提供了客戶對 Inter的無縫訪問 ,并且對 IP碎片攻擊和 icmp的 ping of death提供了有效的防護手段 。 本章小結(jié)
點擊復制文檔內(nèi)容
試題試卷相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1